Delen via

Azure CycleCloud: aanbevolen procedures voor beveiliging

  • Artikel

In dit artikel worden de aanbevolen procedures en nuttige tips besproken voor het veiliger en effectiever gebruik van Azure CycleCloud. U kunt de aanbevolen procedures gebruiken die hier worden vermeld als een beknopt overzicht bij het gebruik van Azure CycleCloud.

Installatie

De standaardinstallatie van CycleCloud maakt gebruik van niet-versleutelde HTTP die wordt uitgevoerd op poort 8080. We raden u ten zeerste aan SSL te configureren voor alle installaties om niet-versleutelde toegang tot uw CycleCloud-installatie te voorkomen. CycleCloud mag niet toegankelijk zijn vanaf internet, maar indien nodig moet alleen poort 443 beschikbaar zijn. Als u directe internettoegang wilt beperken, configureert u het gebruik van een proxy voor al het internetgebonden HTTP- en/of HTTPS-verkeer. Raadpleeg SSL-configuratie om niet-versleutelde communicatie en HTTP-toegang tot CycleCloud uit te schakelen.

Als u ook de uitgaande internettoegang wilt beperken, is het mogelijk om CycleCloud te configureren voor het gebruik van een proxy voor al het internetgebonden HTTP- en/of HTTPS-verkeer. Zie Werken in een vergrendelde omgeving voor meer informatie.

Verificatie en autorisatie

Azure CycleCloud biedt vier verificatiemethoden: een ingebouwde database met versleuteling, Active Directory, LDAP of Entra ID. Elk account met vijf autorisatiefouten binnen 60 seconden wordt automatisch gedurende vijf minuten vergrendeld. Accounts kunnen handmatig worden ontgrendeld door een beheerder en worden na vijf minuten automatisch ontgrendeld.

CycleCloud moet worden geïnstalleerd op een station met alleen beheerdersgroepstoegang. Hiermee voorkomt u dat niet-beheerders toegang hebben tot niet-versleutelde gegevens. Niet-beheerders mogen niet worden opgenomen in deze groep. In het ideale geval is de toegang tot de CycleCloud-installatie beperkt tot alleen beheerders.

Deel cycleCloud-installatie niet over vertrouwensgrenzen heen. De RBAC-besturingselementen binnen één CycleCloud-installatie zijn mogelijk niet voldoende in een echte omgeving met meerdere tenants. Gebruik afzonderlijke en geïsoleerde CycleCloud-installaties voor elke tenant met kritieke gegevens.

Netwerk- en geheimbeheer

Het virtuele netwerk waarin clusters worden gestart, moet worden vergrendeld met netwerkbeveiligingsgroepen (NSG's). Toegang tot specifieke poorten wordt beheerd door een NSG. U hebt de mogelijkheid om het inkomende/uitgaande netwerkverkeer naar/van Azure-resources binnen het virtuele Azure-netwerk te configureren en te beheren. Een netwerkbeveiligingsgroep bevat beveiligingsregels waarmee binnenkomend netwerkverkeer of uitgaand netwerkverkeer van verschillende typen Azure-resources wordt toegestaan of geweigerd.

U wordt ten zeerste aangeraden ten minste twee subnetten te gebruiken. Een voor de installatie-VM CycleCloud en eventuele andere VM's met hetzelfde toegangsbeleid, en extra subnetten voor de rekenclusters. Houd er echter rekening mee dat voor grote clusters het IP-bereik van het subnet een beperkende factor kan worden. In het algemeen moet het CycleCloud-subnet dus een klein CIDR-bereik (Classless Inter-Domain Routing) gebruiken en moeten de rekensubnetten groot zijn.

CycleCloud gebruikt de Azure Resource Manager voor het beheren van clusters. Als u Azure wilt aanroepen Resource Manager bepaalde machtigingen worden verleend aan CycleCloud door beheerde identiteit te configureren voor CycleCloud-VM. Het wordt aanbevolen om door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit te gebruiken.Een door het systeem toegewezen beheerde identiteit maakt een identiteit in Azure AD die is gekoppeld aan de levenscyclus van dat service-exemplaar. Wanneer deze resource wordt verwijderd, wordt de beheerde identiteit automatisch verwijderd. Een door de gebruiker toegewezen beheerde identiteit kan worden toegewezen aan een of meer exemplaren van een Azure-service. In dit geval wordt de beheerde identiteit afzonderlijk beheerd door de gebruikte resources.

Beveiligde vergrendelde omgeving

Sommige beveiligde productieomgevingen vergrendelen de omgeving en hebben beperkte internettoegang. Aangezien Azure CycleCloud toegang vereist tot Azure Storage-accounts en andere ondersteunde Azure-services, is de aanbevolen manier om privétoegang te bieden via Virtual Network Service-eindpunten of Private Link. Als u service-eindpunten of Private Link inschakelt, kunt u uw Azure-serviceresources naar uw virtuele netwerk beveiligen. Service-eindpunten voegen meer beveiliging toe door privé-IP-adressen in te schakelen in de Virtual Network om eindpunten van een Azure-service te bereiken.

De CycleCloud-toepassing en clusterknooppunten kunnen worden gebruikt in omgevingen met beperkte internettoegang, hoewel er een minimaal aantal TCP-poorten open moeten blijven. Een manier om uitgaande internettoegang vanaf de CycleCloud-VM te beperken zonder de Azure Firewall of een HTTPS-proxy te configureren, is door een strikte Azure-netwerkbeveiligingsgroep te configureren voor het subnet van de CycleCloud Virtual-machine. De eenvoudigste manier om dit te doen, is door servicetags te gebruiken in het subnet of netwerkbeveiligingsgroep op VM-niveau om de vereiste uitgaande Azure-toegang toe te staan. Servicetags kunnen worden gebruikt in plaats van een specifiek IP-adres wanneer u beveiligingsregels maakt. U kunt het verkeer voor de bijbehorende service toestaan of weigeren.